JP2012510650A - Protecting virtual guest machines from attacks by infected hosts - Google Patents

Protecting virtual guest machines from attacks by infected hosts Download PDF

Info

Publication number
JP2012510650A
JP2012510650A JP2011525050A JP2011525050A JP2012510650A JP 2012510650 A JP2012510650 A JP 2012510650A JP 2011525050 A JP2011525050 A JP 2011525050A JP 2011525050 A JP2011525050 A JP 2011525050A JP 2012510650 A JP2012510650 A JP 2012510650A
Authority
JP
Japan
Prior art keywords
machine
compliance
host machine
guest
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011525050A
Other languages
Japanese (ja)
Other versions
JP2012510650A5 (en
JP5518865B2 (en
Inventor
ネイシュタット ジョン
ベン−ヨチャナン ノーム
ニース ニーウ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2012510650A publication Critical patent/JP2012510650A/en
Publication of JP2012510650A5 publication Critical patent/JP2012510650A5/ja
Application granted granted Critical
Publication of JP5518865B2 publication Critical patent/JP5518865B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

仮想化環境(100)において、ゲストマシン(205)が操作可能であるホストマシン(210)は、(現在のセキュリティのパッチを最新にすること、アンチウイルスプログラムを実行すること、ゲストマシンを実行するために認証されること等の)適用可能なポリシーに準拠することにより健全であるか否か、及びゲストマシン(205)のセキュリティを妨害又は侵害する可能性のあり得る悪意のあるソフトウェア又はマルウェア(malware)から自由であるか否かを判定するために監視される。ホストマシン(210)が準拠していないことが発見された場合、ゲストマシン(205)がホストマシン(210)上で起動すること又はネットワーク(223)に接続することのいずれかを防ぎ、仮想化環境(100)の全体が準拠していて、データー及びアプリケーション等を含んでいるゲストマシン(205)が、不健全なホストマシン(210)上で実行している悪意のあるコードを介して、それに対して立ち上げられる可能性のある攻撃に対して保護されるか、又は準拠していないことを修正できるまでネットワーク(223)から隔離されることを保証する。  In the virtual environment (100), the host machine (210) on which the guest machine (205) can be operated (update the current security patch, execute the anti-virus program, execute the guest machine) Malicious software or malware that may be healthy by complying with applicable policies (such as being authenticated) and that may disrupt or compromise the security of the guest machine (205) Monitored to determine if it is free from malware). When it is discovered that the host machine (210) is not compliant, the guest machine (205) is prevented from being started on the host machine (210) or connected to the network (223), and virtualized. The entire environment (100) is compliant, and the guest machine (205) containing data, applications, etc. is passed through malicious code running on an unhealthy host machine (210) It is protected against attacks that could be launched against it, or it is guaranteed to be isolated from the network (223) until it can correct the non-compliance.

Description

仮想化は、あるコンピューティングリソースを他から隔離又は分離させることにより、IT(Information Technology)インフラストラクチャーをより効果的及び効率的に利用可能にする広範囲の関わりで重要な戦略である。この戦略は、データーセンターからデスクトップへのコンピューティングの積み重ねのすべてのレイヤーに適用される可能性がある。静的コンピューティング環境で典型的であるように多様なレイヤーを一緒にロックするよりむしろ、つまりOS(Operating System)からハードウェア、アプリケーションからOS、及びユーザーインターフェースからローカルのコンピューティングデバイスであり、仮想化は、互いに有するこれらの部分の直接の依存をなくすことを狙う。   Virtualization is an important strategy with a wide range of implications that make information technology (IT) infrastructure more effective and efficient available by isolating or isolating one computing resource from another. This strategy may be applied to all layers of computing stacks from the data center to the desktop. Rather than locking various layers together as is typical in a static computing environment, OS (Operating System) to hardware, applications to OS, and user interface to local computing devices, virtual The aim is to eliminate the direct dependence of these parts on each other.

このようなデーターセンターからデスクトップへの仮想化は、新しいハードウェア又は設定コンポーネントを獲得することなく、迅速に新しい性能を展開することを可能にする。テスト要件及びアプリケーションの互換性の問題が少なくなり、自動処理が簡略化し、障害リカバリーの性能の実装がより簡単になる。デスクトップ上での仮想化は、顧客又は会社の従業員が、必要なアプリケーションがどこに配置されていたとしてもそれらにアクセスすることが可能になるインフラストラクチャーを作成するのに役立つ。例えば、ユーザーは、ゲストマシンを実装するために仮想化の製品及び技術を使用して、仮想的に任意の位置からホストマシンを使用し、それらのアプリケーション、データー、設定及び優先度の性能の全てにおいて、パーソナライズ化されたデスクトップにアクセスできる。   Such data center to desktop virtualization allows new capabilities to be deployed quickly without acquiring new hardware or configuration components. Test requirements and application compatibility issues are reduced, automated processing is simplified, and failure recovery performance is easier to implement. Virtualization on the desktop helps customers or company employees create an infrastructure that allows them to access the required applications wherever they are located. For example, a user can use a host machine from virtually any location, using virtualization products and technologies to implement guest machines, and all of their application, data, configuration and priority performance Access your personalized desktop.

この背景技術は、続く詳細な説明及び概要の簡単な背景を導くために提供される。この背景技術は請求された主題の範囲を決定する際に考慮されることを意図しておらず、上記の不利又は問題の任意又は全てを解決するために請求された主題を限定するものとして見られることも意図していない。   This background is provided to provide a brief background of the detailed description and overview that follows. This background art is not intended to be considered in determining the scope of the claimed subject matter and is viewed as limiting the claimed subject matter to solve any or all of the above disadvantages or problems. It is not intended to be.

仮想化環境において、ゲストマシンが、不健全(unhealthy)に感染したホストマシン上で操作可能であり、ホストマシンにより攻撃されているゲストマシンの脅威は、(現在のセキュリティのパッチを最新にすること、アンチウイルスプログラムを実行すること、ゲストマシンを実行するために認証すること等の)適用可能なポリシーに準拠することにより健全であるか否か、及び、ゲストマシンのセキュリティを妨害又は侵害する可能性のある悪意のソフトウェア又はマルウェア(malware)から自由であるか否かを判定するために、ホストマシンが監視される編成により対処される。ホストマシンが準拠していないことが発見される場合、ゲストマシンがホストマシン上に起動すること又はネットワークに接続することのいずれかを防ぎ、仮想化環境の全体が準拠していて、データー及びアプリケーション等を含んでいるゲストマシンが、不健全なホストマシン上で実行している悪意のあるコードを介して、それに対して立ち上げられる可能性のある攻撃に対して保護されるか又は準拠していないことを修正できるまでネットワークから隔離することを保証する。   In a virtualized environment, guest machines can operate on unhealthy infected host machines, and the threats of guest machines being attacked by host machines are (update current security patches Whether it is healthy by complying with applicable policies (such as running anti-virus programs, authenticating to run guest machines, etc.) and can interfere with or compromise the guest machine's security The host machine is addressed by the monitored organization to determine if it is free from sexual malicious software or malware. If the host machine is found to be non-compliant, it prevents either the guest machine from booting on the host machine or connecting to the network, the entire virtualization environment is compliant, and data and applications Etc. are protected or compliant with attacks that could be launched against malicious code running on unhealthy host machines. Ensure that you are isolated from the network until you can fix it.

多様な例示的な例において、ゲストマシン上で実行しているゲストのヘルスエージェント(health agent)は、ゲスト上に格納された又は準拠ポリシーサーバーから受け取った1以上の準拠ポリシーでホストの準拠を検査するためのゲストの起動処理の間にホストマシン上のホストのヘルスエージェントと通信するように構成される。ホストマシンが準拠していないことが発見される場合、ゲストマシンがユーザーにエラーメッセージを表示する可能性があるので、ホストマシンの準拠していないことを修正できる。例えば、適切なパッチをインストールすること、アンチウイルスアプリケーション又はアップデートを除くこと等による。ホストマシンが既に準拠している場合、又は準拠となるように修正されていた後の場合、ゲストマシンは仮想化環境を実現するためのブート処理を完了することができ、ユーザーのデスクトップ、アプリケーション及びデーターは、ゲストマシン上で使用可能となる。   In various illustrative examples, a guest health agent running on a guest machine checks host compliance with one or more compliance policies stored on the guest or received from a compliance policy server. Configured to communicate with the host health agent on the host machine during the guest boot process. If it finds that the host machine is not compliant, it can fix the host machine's non-compliance, as the guest machine may display an error message to the user. For example, by installing appropriate patches, removing anti-virus applications or updates, etc. If the host machine is already compliant, or after it has been modified to be compliant, the guest machine can complete the boot process to achieve a virtualized environment, and the user's desktop, application and The data will be available on the guest machine.

ホストマシンの準拠状態は、仮想化の環境が初期化されて操作可能である後に、定期的に検査される可能性もある。例えば、ゲストマシンが企業又は会社のネットワーク等のネットワークへの接続を試みる場合、ゲストのヘルスエージェントは、ホストマシンの現在のヘルスを示すホストのヘルスエージェントから準拠の宣言を要求する可能性がある。ネットワークアクセスが許可される前に、施行ポイントにより要求された1以上のポリシーで、ホストマシンの準拠を検証するために、ネットワーク上のリモートのポリシーの施行ポイントに、ゲストのヘルスエージェントにより準拠の宣言を、転送することができる。準拠の宣言が、ホストマシンが適用可能なポリシーに準拠しない(これはホストが危険にさらされており、マルウェアにより感染及び/又は侵害される高い可能性を有することを示す)ことを示す場合、ネットワークアクセスは拒否される。ユーザーはエラーメッセージを提供される可能性があるので、ネットワークアクセスをもう一度試みる前に準拠していないことが修正される可能性がある。   The compliance state of the host machine may be checked periodically after the virtualization environment is initialized and operational. For example, if a guest machine attempts to connect to a network, such as a corporate or corporate network, the guest health agent may request a declaration of compliance from the host health agent indicating the current health of the host machine. Declares compliance by the guest health agent at the remote policy enforcement point on the network to verify host machine compliance with one or more policies requested by the enforcement point before network access is granted Can be transferred. If the declaration of compliance indicates that the host machine does not comply with applicable policies (this indicates that the host is at risk and has a high probability of being infected and / or compromised by malware) Network access is denied. The user may be provided with an error message, which may correct the non-compliance before attempting network access again.

ホストマシンのヘルスの検査の別の例において、仮想化環境の完全性が侵害されている疑いがある場合、ゲストのヘルスエージェントは、適用可能なポリシーへの継続した準拠を検証及び又は確認するために、ホストのヘルスエージェントから準拠の宣言を要求する可能性がある。例えば、ESAS(Enterprise Security Assessment Sharing)セキュリティモデル下のセキュリティ評価は、ネットワーク内のセキュリティ関連情報を監視するために編成されるエンドポイント(つまりセキュリティのゲートウェイのデバイス)で受け取られる可能性がある。この受け取られたセキュリティ評価は、仮想化環境が侵害される疑いを引き起こす可能性がある。ホストマシンを巻き込んでいるセキュリティ事故が疑いを確認又は拒絶するために起きたか否かを判定するために、又はホストの更なる分析を引き起こすために、この準拠の宣言を使用できる。ホストマシンが侵害されていることが確認された場合、ホストマシンを巻き込んでいるセキュリティ事故が対処及び修正されるまで、ゲストマシン上の操作は中断され、ネットワーク接続要求は拒否される等の可能性がある。   In another example of a host machine health check, the guest health agent may verify and / or confirm continued compliance with applicable policies if there is a suspicion that the integrity of the virtualization environment has been compromised. May require a declaration of compliance from the host health agent. For example, a security assessment under an Enterprise Security Assessment Sharing (ESAS) security model may be received at an endpoint (ie, a security gateway device) that is organized to monitor security related information in the network. This received security assessment can cause suspicion that the virtualization environment is compromised. This declaration of compliance can be used to determine whether a security incident involving the host machine has occurred to confirm or reject the suspicion, or to trigger further analysis of the host. If it is confirmed that the host machine has been compromised, operations on the guest machine may be interrupted and network connection requests may be denied until the security incident involving the host machine is addressed and corrected. There is.

有利なことに、ホスト上のマルウェアからの攻撃に対してゲストマシンを保護するための現在の編成は、仮想化された環境においてセキュリティを高めることを可能にする。コンピューティングリソースの分離の基本の仮想化の本質が保持される一方で、ゲストマシン及びホストマシンのセキュリティ分析は、適用可能なポリシーへのホストマシンの準拠を検査及び高める目的で繋げられる。   Advantageously, the current organization for protecting guest machines against attacks from malware on the host allows for increased security in a virtualized environment. While the basic virtualization essence of computing resource isolation is preserved, guest machine and host machine security analysis is tied to the purpose of checking and enhancing host machine compliance with applicable policies.

この概要は、詳細な説明において下記でさらに説明される簡略化された形式における概念の選択を紹介するために提供される。この概要は、請求された主題の主要な特徴又は重要な特徴を特定することを意図せず、特許請求された主題の範囲を判定する助けとして使用されることも意図していない。   This summary is provided to introduce a selection of concepts in a simplified form that are further described below in the detailed description. This summary is not intended to identify key features or important features of the claimed subject matter, nor is it intended to be used as an aid in determining the scope of the claimed subject matter.

ホストマシン上で操作可能な仮想化の構造を示す図である。It is a figure which shows the structure of the virtualization which can be operated on a host machine. ゲストマシンがネットワークへの接続を有するホストマシン上で操作可能である仮想化環境を示す図である。It is a figure which shows the virtualization environment which a guest machine can operate on the host machine which has connection to a network. ゲストマシン及びホストマシン上で操作可能なコンポーネントを示す図である。It is a figure which shows the component which can be operated on a guest machine and a host machine. ホストマシンのヘルスがゲストマシンの起動で検査される第1の例示的な用途シナリオのフローチャートを示す図である。FIG. 5 shows a flowchart of a first exemplary usage scenario in which the health of the host machine is checked at guest machine startup. ホストマシンのヘルスが定期的に検査される第2の例示的な用途シナリオのフローチャートを示す図である。FIG. 6 shows a flowchart of a second exemplary application scenario where the health of the host machine is periodically checked. チャネルが複数のエンドポイント間で共有されるセキュリティ評価を可能にするために提供される例示的ESASを示す図である。FIG. 6 illustrates an example ESAS provided to enable security assessments where a channel is shared among multiple endpoints. セキュリティ評価が適用可能なポリシーでホストマシンの準拠の検査を引き起こすために使用される例示的シナリオを示す図である。FIG. 6 illustrates an example scenario used to cause a host machine compliance check in a policy to which a security assessment is applicable.

図面において同様の参照番号は同様の要素を示している。   In the drawings, like reference numbers indicate like elements.

仮想化は、多くの方法で今日コンピューティングを劇的に変えている破壊的技術である。例えば仮想化は、ユーザー(つまり消費者企業の従業員等の又はビジネスユーザー)が、彼らのデスクトップPC(Personal Computer)から離れるとき、彼ら自身のラップトップコンピューターを運ばなければならないのを回避することを可能にする。代わりに、彼らは、USB(Universal Serial Bus)ドライブ等の携帯できるストレージデバイス上に彼らのデスクトップの画像を運ぶことができ、家のPC、ホテルのキオスク、空港、図書館又はサイバーカフェで公然にアクセス可能なPC、友人の家のコンピューター等の任意のホストコンピューター上の仮想のゲストとしてデスクトップを実行することができる。   Virtualization is a disruptive technology that has dramatically changed computing today in many ways. For example, virtualization avoids users (ie consumer company employees or business users) having to carry their own laptop computer when they leave their desktop PC (Personal Computer). Enable. Instead, they can carry their desktop images on a portable storage device, such as a USB (Universal Serial Bus) drive, and are publicly accessible at home PCs, hotel kiosks, airports, libraries or cyber cafes. The desktop can run as a virtual guest on any host computer, such as a possible PC, a friend's home computer, etc.

ホスト及び1以上のゲストマシンのオペレーティングシステムが実行するパーティションと呼ばれる隔離した複数の論理ユニットを作成することにより、PC等のホストマシン100上で仮想化環境をセットアップすることができる。図1に示すように、仮想化環境102は、ゲストマシンをサポートする1以上の子パーティション1101…Nを作成するために使用される可能性のあるルートパーティション106を通常含む。いくつかの場合において、子パーティションはそれ自身の更なる子パーティションを発生させることも可能である。ルートパーティション106は、ホストマシンについてのオペレーティングシステムを含み、中央処理装置、メモリー及び他のハードウェアリソースを含むホストのハードウェアへの直接のアクセスを有する。 A virtual environment can be set up on the host machine 100 such as a PC by creating a plurality of isolated logical units called partitions executed by the host and one or more guest machine operating systems. As shown in FIG. 1, the virtualization environment 102 typically includes a root partition 106 that may be used to create one or more child partitions 110 1... N that support guest machines. In some cases, a child partition can also generate its own further child partitions. The root partition 106 contains the operating system for the host machine and has direct access to the host hardware, including the central processing unit, memory and other hardware resources.

仮想化のソフトウェアレイヤー116は、パーティション及びホストマシン上のハードウェア120間で編成される。この例において、仮想化ソフトウェアは、パーティション間の通信をサポートするこのレイヤー116における論理チャネル上で子パーティション110にハードウェア120の仮想のビューを見せるハイパーバイザーを含む。ゲストマシンから仮想ハードウェアへの要求は、論理チャネル上で親又はルートパーティションに向けられる。ルートパーティションはその後、要求を管理し、チャネル上に応答を返すことになる。要求及び応答処理の全体は、ゲストマシン上で実行しているオペレーティングシステムに完全に明白である。   The virtualization software layer 116 is organized between the partitions and the hardware 120 on the host machine. In this example, the virtualization software includes a hypervisor that shows the child partition 110 a virtual view of the hardware 120 on the logical channel in this layer 116 that supports communication between partitions. Requests from the guest machine to the virtual hardware are directed to the parent or root partition on the logical channel. The root partition will then manage the request and return a response on the channel. The entire request and response process is completely apparent to the operating system running on the guest machine.

仮想化がうまく実行し、かなりの柔軟性及び経済価値を提供する一方で、ホストマシンがウイルス、トロイの木馬、キーロガー等のマルウェアで感染されるとき、潜在的なセキュリティの脅威が存在する。ゲストマシンが子パーティション110上で開始されると、ホスト上のマルウェアは、ゲスト上のデーターを盗む又は改ざんする機会を提供される可能性がある。さらに、ゲストマシンがリモートの企業ネットワーク等のネットワークへアクセスするために使用される場合、マルウェアはゲストマシンを介してネットワーク上のリソース及びデーターへの不正アクセスを獲得する可能性がある。   While virtualization performs well and provides considerable flexibility and economic value, there are potential security threats when the host machine is infected with malware such as viruses, Trojan horses, keyloggers and the like. When a guest machine is started on a child partition 110, malware on the host may be provided with an opportunity to steal or tamper with data on the guest. Furthermore, if the guest machine is used to access a network such as a remote corporate network, the malware may gain unauthorized access to resources and data on the network via the guest machine.

NAP/NAC(Network Access Protection/Control)等のセキュリティソリューションが、所与の準拠ポリシーに適合することを検証することにより、ゲストマシンのヘルスを検査するために利用可能である。例えば、ポリシーは、ゲストマシンが最近のセキュリティパッチで十分にアップデートされていて現在の署名に最新で、実行しているアンチウイルス又はアンチマルウェアのソフトウェアプログラムを有し、適切に構成されているソフトウェアのファイヤーウォールを有すこと等を指定する可能性がある。しかし、現在のソリューションは、ゲストマシンのためだけの準拠の検査を実行し、ホストマシンのヘルスを無視する。従って、ゲストマシンが十分に準拠し健全であることを見つけられるときでさえ、現在のソリューションはホストマシン上に常駐される可能性のあるマルウェアへのゲストマシンの露出に対処しない。   Security solutions such as NAP / NAC (Network Access Protection / Control) can be used to check the health of guest machines by verifying that they conform to a given compliance policy. For example, a policy might be that a guest machine is fully updated with recent security patches, has an up-to-date signature, has an anti-virus or anti-malware software program running, and is properly configured. There is a possibility of specifying having a firewall. However, current solutions perform compliance checks only for guest machines and ignore the health of the host machine. Thus, even when the guest machine is found to be fully compliant and healthy, current solutions do not address the exposure of the guest machine to malware that may reside on the host machine.

図2は、感染したホストによる攻撃からゲストマシンを保護するための現在の編成が実施される可能性のある例示的な仮想化環境200を示している。仮想のゲストマシン205は、リモートの会社のネットワーク223(コーポネット(corponet))等のネットワークへの接続215を有するPC等のホストマシン210上で操作可能である。ネットワーク接続215は、例えばVPN(Virtual Private Network)、SSL(Secure Sockets Laer)ベースのVPN、VPN over IPSec(Internet Protocol Security over VPN)、及び同様のものを含む様々なリモートのネットワーキングプロトコルのうちの1つを使用して実施することができる。代替として、ネットワーク接続215は、例えば、本出願の譲受人により所有され、その全体を本明細書に参照して組み込まれる「Globally Distributed Infrastructure for Secure Content Management」というタイトルで2008年6月29日に出願された米国特許出願番号12/164,078において説明されているように、グローバルSCM(Secure Content Management)インフラストラクチャーを使用して実施することができる。   FIG. 2 illustrates an example virtualization environment 200 in which current arrangements for protecting guest machines from attacks by infected hosts may be implemented. The virtual guest machine 205 can be operated on a host machine 210 such as a PC having a connection 215 to a network such as a remote company network 223 (corponet). Network connection 215 is one of a variety of remote networking protocols including, for example, VPN (Virtual Private Network), SSL (Secure Sockets Laer) based VPN, VPN over IPSec (Internet Protocol Security over VPN), and the like. Can be implemented using one. Alternatively, the network connection 215 is, for example, owned by the assignee of the present application on June 29, 2008 under the title “Globally Distributed Infrastructure for Secure Content Management”, which is incorporated herein by reference in its entirety. It can be implemented using a global Secure Content Management (SCM) infrastructure, as described in filed US patent application Ser. No. 12 / 164,078.

コーポネット223におけるネットワーク接続215のエンドポイントは、下記で詳細に説明される準拠ポリシーサーバー230とともにポリシー施行ポイント226である。(図2におけるデーター234により集合的に特定される)企業リソース及びデーターは、コーポネット223において利用可能であり、窃盗及び悪意のある攻撃に対して保護することを所望するいくつかの権利財産、慎重に扱うべき及び/又は機密情報を通常含む。コーポネット223は、ビジネス又は企業の従業員のITニーズをサポートするために要求される可能性のあるものとして、クライアントコンピューター、ワークステーション、ラップトップ、モバイルデバイス及び同様のもの(図示せず)等の他のデバイスをサポートするために通常編成される。他のデバイスは、コーポネット223でローカルに展開されるか又はいくつかの場合にコーポネットからリモートで展開されるかのいずれかの可能性がある。   The endpoint of the network connection 215 in the Corponet 223 is a policy enforcement point 226 along with a compliant policy server 230 described in detail below. Corporate resources and data (collectively identified by data 234 in FIG. 2) are available in the Corponet 223, and some rights property that it is desired to protect against theft and malicious attacks, It usually contains sensitive information and / or sensitive information. Corponet 223 may be required to support the IT needs of business or corporate employees such as client computers, workstations, laptops, mobile devices and the like (not shown), etc. Usually organized to support other devices. Other devices may either be deployed locally on the Corponet 223 or in some cases remotely from the Corponet.

エッジファイアウォール239は、インターネット242等のコーポネット及び外部ネットワーク間のトラフィックを監視するために設定されるコーポネット223における境界に配置される。電子メール及びウェブサーバー及びデーターベース等の外部リソース245はインターネット242上で通常アクセス可能である。   The edge firewall 239 is disposed at a boundary in the corporate network 223 that is set to monitor traffic between a corporate network such as the Internet 242 and an external network. External resources 245 such as email and web servers and databases are normally accessible on the Internet 242.

ユーザーは、示されるUSBドライブ等のポータブルのストレージメディア253からホストマシン210へユーザーのデスクトップ画像250をロードすることにより、仮想化環境200を作成する可能性がある。ポータブルのストレージメディア253はいくつかの場合において仮想化ソフトウェア116を含む可能性もある。デスクトップ画像250が子パーティションに転送されて仮想化ソフトウェアが操作可能であるとき、ゲストマシン205がホストマシン210上でインスタンス化され、ホスト上のデスクトップ、アプリケーション、データー、設定及び優先度を含んでいるユーザーのコンピューターを仮想化する。ゲストマシン205上で仮想化されるオブジェクト(つまりアプリケーション、データー等)の特別な混合は実装により変えることができ、全てのオブジェクトがそれぞれの実装により仮想化される必要はないことに留意する。   The user may create the virtualized environment 200 by loading the user's desktop image 250 from the portable storage media 253 such as the USB drive shown to the host machine 210. Portable storage media 253 may include virtualization software 116 in some cases. When the desktop image 250 is transferred to the child partition and the virtualization software is operational, the guest machine 205 is instantiated on the host machine 210 and includes the desktop, application, data, settings and priority on the host. Virtualize the user's computer. Note that the particular mix of objects (ie applications, data, etc.) that are virtualized on the guest machine 205 can vary from implementation to implementation, and not all objects need to be virtualized by their implementation.

ホストマシン210はコーポネット223から通常リモートで位置付けられ、セキュリティ保護の観点からコーポネットの一方として密接に制御又は監視されないことの多い、キオスク、図書館等の公にアクセス可能なPC、又は家ベースのコンピューターを含む可能性がある。その結果、(参照番号252により示される)マルウェアは、ゲストマシン205の侵害についての可能性を有するホストマシンに感染する可能性がある。   The host machine 210 is usually located remotely from the Corponet 223 and is often not closely controlled or monitored as one of the Corponet from a security perspective, a publicly accessible PC such as a kiosk, library, or home-based May include a computer. As a result, malware (indicated by reference numeral 252) can infect a host machine that has the potential for guest machine 205 compromise.

図3に示すように、ホストマシン210上のマルウェアの脅威を対処するために、ホストのヘルスエージェント305は、ホスト上で実行するように設定され、準拠ポリシー308へのホストの適合性を検査する。準拠ポリシー308は、いくつかの実装における子パーティション上で最初に初期化されるときにゲストマシン205上にローカルに格納される可能性があるか、又はその他における準拠ポリシーサーバー230(図2)から取り出される可能性がある。準拠ポリシー308はホストマシン210についての最小の受け入れ可能なヘルスの条件を通常指定することになる。このような条件は実装により変わるか、又はセキュリティ管理者により設定することが可能である。例えば、準拠ポリシー308は、ホストマシン210が最新のセキュリティアップデートでパッチをあてられ、アンチウイルス製品又はサービスにより保護することを指定することができる。単一のポリシーがこの例において例示的に使用される一方で、一部のアプリケーションにおいて、複数の準拠ポリシーが利用される可能性がある。   As shown in FIG. 3, to address malware threats on the host machine 210, the host health agent 305 is configured to run on the host and checks the host's conformance to the compliance policy 308. . Compliance policy 308 may be stored locally on guest machine 205 when initially initialized on a child partition in some implementations, or otherwise from compliance policy server 230 (FIG. 2). May be taken out. The compliance policy 308 will typically specify the minimum acceptable health condition for the host machine 210. Such conditions can vary depending on the implementation, or can be set by a security administrator. For example, the compliance policy 308 may specify that the host machine 210 is patched with the latest security update and protected by an antivirus product or service. While a single policy is used illustratively in this example, in some applications multiple compliance policies may be utilized.

ホストのヘルスエージェント305及びローカルに格納された準拠ポリシーは、ポータブルのストレージメディア253(図2)に格納され、初期化の間、ホストマシン及びゲストマシンの各々に転送することができる。一部の実装において、ホストのヘルスエージェント305は、ホストマシン210上で実行する可能性があるか、さもなければ同様のNAP機能を含む可能性のある、NAPクライアント若しくは他のコンポーネント又はエージェントの一部として実装される可能性がある。   The host health agent 305 and locally stored compliance policies are stored on the portable storage media 253 (FIG. 2) and can be transferred to each of the host and guest machines during initialization. In some implementations, the host health agent 305 may be one of a NAP client or other component or agent that may run on the host machine 210 or otherwise include similar NAP functionality. May be implemented as a part.

ホストのヘルスエージェント305は、例えばセキュリティパッチの状態(「状態」という用語は、最後のパッチが何か及びいつインストールされたかを意味する)、アンチウイルス及び/又はアンチマルウェアのソフトウェアの存在、ウイルス又はマルウェアの署名のアップデートの存在、ホストマシンがゲストマシンを実行するために認証されることを示す(例えばホストマシンが企業又はコーポネットのIT資産である)ための指定の証明書/ファイル/登録キーの存在、適切に設定されたソフトウェアのファイヤーウォールの存在等を含むホストマシンのヘルスを示す様々な要素を検査できる。ここに挙げられた要素は例示であることを意図し、特定の実装のニーズを満たすために要求される他の要素も利用することができることに留意する。   The host health agent 305 may, for example, check the status of a security patch (the term “status” means what and when the last patch was installed), the presence of anti-virus and / or anti-malware software, The presence of a malware signature update, a specified certificate / file / registration key to indicate that the host machine is authenticated to run the guest machine (eg the host machine is a corporate or corporate IT asset) You can examine various factors that indicate the health of the host machine, including the presence of firewalls, the presence of properly configured software firewalls, and so on. Note that the elements listed here are intended to be exemplary and other elements required to meet the needs of a particular implementation may be utilized.

ホストのヘルスエージェント305はさらに、ゲストマシン205のコンポーネントである対応するゲストのヘルスエージェント312と通信するように構成される。特にホストのヘルスエージェント305は、ホストのヘルスエージェントが検査を実行した後に、ホストマシンのヘルスを示す準拠の宣言320を生成し得る。準拠の宣言320は、例えばゲストのヘルスエージェントからの要求に応答して、ゲストのヘルスエージェント312にホストのヘルスエージェント305により送ることができる。選択的に、ホストのヘルスエージェント305は、他のトリガー又は条件の発生で、若しくは所定の時刻に、自身の主導で準拠の宣言320を送信することができる。   The host health agent 305 is further configured to communicate with a corresponding guest health agent 312 that is a component of the guest machine 205. In particular, the host health agent 305 may generate a compliant declaration 320 indicating the health of the host machine after the host health agent has performed the inspection. The compliance declaration 320 may be sent by the host health agent 305 to the guest health agent 312 in response to a request from the guest health agent, for example. Optionally, the host health agent 305 can send a compliance declaration 320 at its initiative on the occurrence of another trigger or condition or at a predetermined time.

ホストのヘルスエージェント305は、ゲストのヘルスエージェント312の代わりに、準拠ポリシーサーバー230(又はポリシー施行ポイント226)に準拠の宣言320を送るように構成することができる。この場合に、準拠ポリシーサーバー230は準拠の宣言320を確認することができる。ホストマシン210が適用可能なポリシーに準拠していることが発見される場合、準拠ポリシーサーバー230はホストのヘルスエージェント305に署名されたヘルスの証明書322を発行することができる。ホストのヘルスエージェント305は、ゲストのヘルスエージェント312からの要求を受け取るとき、署名されたヘルス証明書322をゲストのヘルスエージェントに送信することができる。   The host health agent 305 may be configured to send a compliance declaration 320 to the compliance policy server 230 (or policy enforcement point 226) on behalf of the guest health agent 312. In this case, the compliance policy server 230 can confirm the compliance declaration 320. If the host machine 210 is found to be compliant with applicable policies, the compliance policy server 230 can issue a signed health certificate 322 to the host health agent 305. When the host health agent 305 receives a request from the guest health agent 312, it can send a signed health certificate 322 to the guest health agent.

ゲストのヘルスエージェント312は、ゲストマシン205が操作し得る安全な仮想化環境が存在するかどうかを判定するために、ローカルに準拠の宣言320(又は署名されたヘルス証明書322)を使用することができる。さらにゲストマシン205は、外部ネットワーク又はコーポネット223(図2)にアクセスするとき、準拠の宣言320(又は署名されたヘルス証明書322)をポリシー施行ポイント226に転送することができる。これらの用途のそれぞれはさらに、下記の図4及び図5におけるフローチャートに示した用途シナリオにおいてさらに示している。フローチャートは、図2及び図3で示した要素を指し、添付のテキストで説明する。   The guest health agent 312 uses the locally compliant declaration 320 (or signed health certificate 322) to determine if there is a secure virtualization environment that the guest machine 205 can operate on. Can do. Further, when the guest machine 205 accesses an external network or corporate network 223 (FIG. 2), the guest machine 205 can forward the compliance declaration 320 (or signed health certificate 322) to the policy enforcement point 226. Each of these applications is further illustrated in the application scenarios shown in the flowcharts in FIGS. 4 and 5 below. The flowchart refers to the elements shown in FIGS. 2 and 3 and is described in the accompanying text.

図4は、ホストのヘルスエージェント305が、ホスト上のゲストマシン205の起動又は初期化処理におけるいくつかのポイントで、ホストマシン210のヘルスを検査する、第1の例示的な用途シナリオ400のフローチャートを示している。例えば、図書館、キオスク又はサイバーカフェといった公共の場所に配置され得る未知のホストマシン上で、ユーザーがゲストマシンとしてデスクトップ画像250を開始することを試み度に、検査を行うことができる。ゲストのヘルスエージェント312が始動するポイントで(415)、ゲストマシン205がブート処理を開始するとき(参照番号410により参照される)、シナリオ400は開始する。   FIG. 4 is a flowchart of a first exemplary usage scenario 400 in which the host health agent 305 checks the health of the host machine 210 at several points in the startup or initialization process of the guest machine 205 on the host. Is shown. For example, on an unknown host machine that can be located in a public place such as a library, kiosk or cyber cafe, a test can be performed each time a user attempts to start the desktop image 250 as a guest machine. At the point at which the guest health agent 312 starts (415), the scenario 400 begins when the guest machine 205 starts the boot process (referenced by reference numeral 410).

ゲストのヘルスエージェント312は、ホストマシン210のヘルスを検査することをホストのヘルスエージェント305に要求して(420)、ホストのポリシー308への準拠を確かめることができる。上述したように、検査された特定の要素及びポリシー308により課された要件は実装により変えることができる。ホストのヘルスエージェント305は、要求に応答可能なようにヘルスの検査を実行し(425)、ゲストのヘルスエージェント312に準拠の宣言320を提供する(430)。上述したように代替として、ホストのヘルスエージェント305は、準拠ポリシーサーバー230に準拠の宣言320を提供し、ホストマシン210が適用可能なポリシーに準拠していると判定される場合に、署名されたヘルスの証明書322を戻して受け取る。   The guest health agent 312 may request the host health agent 305 to inspect the health of the host machine 210 (420) to ensure compliance with the host policy 308. As mentioned above, the specific elements examined and the requirements imposed by policy 308 can vary from implementation to implementation. The host health agent 305 performs a health check to be responsive to the request (425) and provides a compliant declaration 320 to the guest health agent 312 (430). Alternatively, as described above, the host health agent 305 provides a compliance declaration 320 to the compliance policy server 230 and is signed if it is determined that the host machine 210 is compliant with applicable policies. Return and receive the health certificate 322.

ゲストのヘルスエージェント312は、ホストのヘルスエージェント305から受け取った準拠の宣言320を、準拠ポリシー308と比較する(435)。(判定ブロック440において)ホストマシン210が準拠していると判定される場合(又は署名されたヘルス証明書322が準拠していることを示す場合)、ゲストマシン205は結果を通してその起動処理を続けることが許可される(445)。これにより仮想化環境200が作成されることが可能となるので、ユーザーのデスクトップ、アプリケーション、設定、優先、データー等の1以上がゲストマシン205上に提供される(406)。   The guest health agent 312 compares the compliance declaration 320 received from the host health agent 305 with the compliance policy 308 (435). If it is determined (at decision block 440) that the host machine 210 is compliant (or indicates that the signed health certificate 322 is compliant), the guest machine 205 continues its activation process through the results. Is allowed (445). As a result, the virtual environment 200 can be created, so that one or more of the user's desktop, application, setting, priority, data, and the like are provided on the guest machine 205 (406).

ゲストのヘルスエージェントがホストマシン上に存在しないか、又は、ポリシー308に対する準拠の宣言320の比較が、ホストマシン210がポリシーに準拠しないことを示す場合、エラーメッセージは、ゲストマシン205上で実行しているユーザーインターフェースを介して表示されることがある(450)。エラーメッセージは、ホストマシン210の準拠していないことを示す詳細な通知を与えることができるので、ユーザーはホスト上の問題の修正を試みることができる。例えば、ホストマシン210が重要なセキュリティパッチを逃す場合、ユーザーは、ホストをポリシー308の準拠に持ち込むために、パッチのダウンロード及びインストールを行い得る。一度そのように修正されると、ゲストマシン205はブート処理(455)を続けることができるので、仮想化環境がユーザーのために作成される(460)   If the guest health agent does not exist on the host machine, or the comparison of the compliance declaration 320 to the policy 308 indicates that the host machine 210 does not comply with the policy, an error message is executed on the guest machine 205. May be displayed via a user interface (450). The error message can provide detailed notification that the host machine 210 is not compliant, so the user can attempt to correct the problem on the host. For example, if the host machine 210 misses a critical security patch, the user may download and install the patch to bring the host into compliance with policy 308. Once so modified, the guest machine 205 can continue the boot process (455) so a virtualized environment is created for the user (460).

図5は、ホストのヘルスエージェント305がホストマシン210のヘルスを定期的に検査する第2の例示的な用途シナリオ500のフローチャートを示している。この例において、ゲストマシン205がコーポネット223等の外部ネットワークにアクセスすることを試みるときに、この検査は実行される(505)。   FIG. 5 shows a flowchart of a second exemplary usage scenario 500 in which the host health agent 305 periodically checks the health of the host machine 210. In this example, this check is performed (505) when the guest machine 205 attempts to access an external network such as the Corponet 223.

ポリシー施行ポイント226は、ネットワーク接続215で上記試みを確認するとき、コーポネット223への接続が完了することとなる前に作成された準拠の宣言を要求する(510)。それに応じて、ゲストのヘルスエージェント312はホストのヘルスエージェント305から準拠の宣言320を要求し(515)、ホストのヘルスエージェントはホストマシン210のヘルス検査を実行し、これにより準拠の宣言を生成する(520)。上述したように、代替的に、ホストのヘルスエージェント305は、準拠ポリシーサーバー230に準拠の宣言320を提供し、ホストマシン210が適用可能なポリシーに準拠していると判定される場合に、署名されたヘルスの証明書322を戻して受け取ることができる。   When the policy enforcement point 226 confirms the attempt at the network connection 215, the policy enforcement point 226 requests a declaration of compliance created before the connection to the Corponet 223 is completed (510). In response, the guest health agent 312 requests a compliance declaration 320 from the host health agent 305 (515), and the host health agent performs a health check of the host machine 210, thereby generating a compliance declaration. (520). As described above, alternatively, the host health agent 305 provides a compliance declaration 320 to the compliance policy server 230, and if it is determined that the host machine 210 is compliant with an applicable policy, the signature Returned health certificate 322 can be received.

ゲストのヘルスエージェント312は、ポリシー施行ポイント226に準拠の宣言320を転送する(525)。ポリシー施行ポイント226は適用可能な準拠ポリシーに対する宣言を比較する(530)。通常、適用可能なポリシーは準拠ポリシーサーバー230により提供されることになる。さらに、ローカルに格納されたポリシー308の場合において上述されたように、1又は複数のポリシーは、所与の実装におけるホストマシン210へ適用される可能性がある。(判定ブロック535において)ホストのヘルスエージェント305からの準拠の宣言は、ホストマシン210が適用可能なポリシーに準拠していることを示す場合(又は署名されたヘルスの証明書322が準拠していることを示す場合)、ポリシー施行ポイント226はゲストマシン206がコーポネット223へアクセスすることを許可する(540)。   The guest health agent 312 forwards the declaration 320 compliant with the policy enforcement point 226 (525). Policy enforcement point 226 compares the declarations for applicable compliance policies (530). Typically, applicable policies will be provided by the compliance policy server 230. Further, as described above in the case of locally stored policies 308, one or more policies may be applied to the host machine 210 in a given implementation. If the declaration of compliance from the host health agent 305 (in decision block 535) indicates that the host machine 210 is compliant with applicable policies (or the signed health certificate 322 is compliant). The policy enforcement point 226 allows the guest machine 206 to access the Corponet 223 (540).

ゲストのヘルスエージェントがホストマシン上に存在しておらず、又は、準拠ポリシーサーバー230により供給されるポリシーに対する準拠の宣言320の比較が、ホストマシン210がポリシーに準拠しないことを示す場合、ポリシー施行ポイント226はネットワークアクセスを拒否し(545)、エラーメッセージがゲストマシン205上に実行しているユーザーインターフェースを介して表示される可能性がある(550)。エラーメッセージはホストマシン210の準拠していないことの詳細の通知を与えることができるので、ユーザーはホスト上の準拠の問題を修正することを試みることができる。例えばホストマシン210がホスト上で実行しているアンチウイルス製品についてのマルウェアの署名の最新のアップデートを逃す場合、ユーザーは署名のアップデートのダウンロード及びインストールを行うことができ、ホストを適用可能なポリシーの準拠に持ち込むことができる。そのように修正される場合、ゲストマシン205は、準拠施行ポイント226によりネットワークアクセスを許可されるので(555)、ゲストマシンにおけるユーザーはデーターストア234に書き込み及びデーターストア234から読み出し、及び/又はインターネットベースのリソース245にアクセスをすることができる。   Policy enforcement if the guest health agent is not present on the host machine or the comparison of the compliance declaration 320 against the policy supplied by the compliance policy server 230 indicates that the host machine 210 does not comply with the policy Point 226 denies network access (545) and an error message may be displayed via the user interface running on guest machine 205 (550). Since the error message can give a detailed notification that the host machine 210 is not compliant, the user can attempt to correct a compliance problem on the host. For example, if the host machine 210 misses the latest malware signature update for an antivirus product running on the host, the user can download and install the signature update, Can be brought into compliance. If so modified, guest machine 205 is allowed network access by compliance enforcement point 226 (555) so that users at the guest machine can write to and read from data store 234 and / or the Internet. Base resources 245 can be accessed.

ホストのヘルスエージェント305は他の環境の下でホストマシン210のヘルスを検査するために利用されることもある。例えば、仮想化環境の完全性が侵害される疑いのある場合、ゲストのヘルスエージェントは、適用可能なポリシーへの継続した準拠を検証及び/又は確認するために、ホストのヘルスエージェントからヘルスの宣言を要求することができる。一つの例示的な例において、ESASセキュリティモデル下のセキュリティ評価はこのような疑いを引き起こすために受け取られる可能性がある。   The host health agent 305 may be used to check the health of the host machine 210 under other environments. For example, if the integrity of the virtualized environment is suspected, the guest health agent can declare health from the host health agent to verify and / or confirm continued compliance with applicable policies. Can be requested. In one illustrative example, a security assessment under the ESAS security model may be received to cause such suspicion.

図6は、セキュリティ評価がエンドポイント6101,2、…Nと呼ばれる複数のセキュリティゲートウェイ間で共有されることを可能にするためにチャネル605が提供される例示的ESAS編成600を示している。企業のネットワークセキュリティについてのESASベースのセキュリティモデルは、本出願の譲受人により所有され、その全体を本明細書に参照して組み込まれる「Enterprise Security Assessment Sharing」というタイトルで、2007年3月14日に出願された米国特許出願番号11/724,061において説明され、これは、セキュリティ事故の高められた検知を提供し、企業規模の閲覧を可能にし、セキュリティ事故への自動的な応答についての明白でかつ単純で一元化された企業規模の応答ポリシーをセキュリティ管理者が定義しかつ施行することを可能にする。 FIG. 6 shows an exemplary ESAS organization 600 in which a channel 605 is provided to allow security evaluations to be shared among multiple security gateways called endpoints 610 1, 2 ,. An ESAS-based security model for enterprise network security, owned by the assignee of the present application, entitled “Enterprise Security Assessment Sharing”, incorporated herein by reference in its entirety, March 14, 2007 In US patent application Ser. No. 11 / 724,061, filed in U.S.A., which provides enhanced detection of security incidents, enables enterprise-wide browsing, and is clear about automatic responses to security incidents. Allows security administrators to define and enforce simple, centralized enterprise-wide response policies.

ESASは企業のセキュリティ環境においてエンドポイント間のセキュリティ関連情報を共有することを可能にするセキュリティ評価と呼ばれる意味抽象(semantic abstraction)に依存する。この例では、企業のセキュリティ環境は、コーポネット223(図2)もユーザーもマシンも含むことができ、例えばグローバルSCMインフラストラクチャーを使用した分散編成を(ゲストマシン205及びホストマシン210を含んで)サポート又は包含する。   ESAS relies on a semantic abstraction called security evaluation that allows security related information to be shared between endpoints in an enterprise security environment. In this example, the enterprise security environment can include both the Corponet 223 (FIG. 2), users, and machines, eg, a distributed organization using the global SCM infrastructure (including guest machines 205 and host machines 210). Support or include.

セキュリティ評価は、コンピューター、ユーザー、サービス、ウェブサイト、データー又は企業等、全体としての環境において興味のあるオブジェクトについて収拾される情報(つまりいくつかの状況におけるデーター)への広範囲の文脈上の意味(contextual meaning)のエンドポイントによる暫定的な割り当てとして定義される。セキュリティ評価は、環境におけるオブジェクトが検知された事故の重大度(例えば、低、中間、高、重要)とともに「侵害される(compromise)」又は「攻撃下」等の特定の評価カテゴリーになることを明らかにするために、エンドポイントについて簡潔な語彙を利用する。   Security assessment has a broad contextual meaning to information (ie data in some situations) that is collected about objects of interest in the environment as a whole, such as computers, users, services, websites, data or businesses. Contextual meaning) defined as a provisional assignment by the endpoint. Security assessments indicate that objects in the environment will be in a specific assessment category such as “compromise” or “under attack” along with the severity of the detected accident (eg, low, medium, high, critical). Use a concise vocabulary for endpoints to clarify.

セキュリティ評価は、いくつかの不確定さがあり、制限された時間の間は有効であるので、暫定的である。セキュリティ評価の暫定的な性質は、文脈上の意味の割り当てにおいてエンドポイントが有する信頼のレベルを表現する信用分野、及びセキュリティ評価が有効であると期待される時間期間のエンドポイントの見積もりを反映するTTL(time-to-live)分野である、構成要素のうちの2つにおいて反映される。従って例えば、1以上のセキュリティ事故のエンドポイントの現在の理解を考慮して、特定のマシンは重大度の危機的なレベルでかつ中間の信用度、及び30分のTTLを有して侵害されることを明らかにするために、セキュリティ評価がエンドポイントにより使用される可能性がある。   The security evaluation is tentative because there are some uncertainties and it is valid for a limited time. The tentative nature of the security evaluation reflects a trust domain that represents the level of trust the endpoint has in assigning contextual meaning, and an estimate of the endpoint for the time period in which the security evaluation is expected to be effective Reflected in two of the components, which are TTL (time-to-live) fields. Thus, for example, given the current understanding of one or more security incident endpoints, a particular machine is compromised with a critical level of severity and an intermediate credit rating, and a TTL of 30 minutes Security assessment may be used by endpoints to clarify

様々なタイプのセキュリティ評価は、任意の所与の企業ネットワーク環境において利用することができる。これらは例えば、評価のカテゴリー及びオブジェクトタイプの様々な組み合わせを含み得る。   Various types of security assessments can be utilized in any given enterprise network environment. These may include, for example, various combinations of rating categories and object types.

ESASは通常多くの利点を提供する。簡潔な語彙を有するセキュリティ評価を採用することにより、企業におけるデーター全体の複雑さは大幅に減らされ、意味のある情報のみがエンドポイント間で共有される。セキュリティ評価の使用により、中央の格納位置における大量の生のデーターを収集する必要性も取り除き、これにより非常に拡張性の高い企業セキュリティのソリューションを費用対効果ベースで構築することが可能になる。さらに、新しいエンドポイントはオンデマンドの拡張性でわかりやすく展開され得る。セキュリティ評価は、既存のエンドポイント内の任意の応答ポリシーを再設定する必要なく新しいエンドポイント及び既存のエンドポイント間で共有することができる。新しいエンドポイントは、既存のエンドポイントが既に理解された意味抽象を使用して、セキュリティ評価の新しいソースとして単に機能する。セキュリティ評価の利用により、企業規模のセキュリティポリシーは、各エンドポイントが企業内で作成することがあるセキュリティイベントの全てを理解することなく、非常にコンパクトで明白な方法論を使用して設置することも可能にし、その後、各イベントについてのそれぞれの動作を説明することを試みる。   ESAS usually offer many advantages. By employing a security assessment with a concise vocabulary, the complexity of the entire data in the enterprise is greatly reduced and only meaningful information is shared between endpoints. The use of security assessments also eliminates the need to collect large amounts of raw data in a central storage location, thereby enabling a highly scalable enterprise security solution to be built on a cost-effective basis. In addition, new endpoints can be easily deployed with on-demand scalability. Security ratings can be shared between new and existing endpoints without having to reconfigure any response policy within the existing endpoint. The new endpoint simply serves as a new source of security evaluation, using the semantic abstraction that the existing endpoint has already understood. Through the use of security assessments, enterprise-wide security policies can also be set up using a very compact and obvious methodology without having to understand all of the security events that each endpoint may create within the enterprise. And then try to explain each action for each event.

ESASセキュリティモデル下において、企業ネットワークのユーザーは企業環境におけるITアセットの利用を支配するセキュリティポリシーが課される。特に、セキュリティポリシーは通常、少なくとも一部でエンドポイント610により施行される。セキュリティポリシーは通常、ユーザーがどの情報にアクセスすることがあるか、どの種類の情報がアクセスされ得るか、及び、許容できかつ許容できない振る舞いがいつか、企業内の監査実務等を支配する。   Under the ESAS security model, corporate network users are subject to security policies that govern the use of IT assets in the corporate environment. In particular, the security policy is typically enforced at least in part by the endpoint 610. Security policies typically govern audit practices, etc. within an enterprise, what information a user may access, what types of information may be accessed, and when acceptable and unacceptable behavior is.

例えばエンドポイント610は、企業内のセキュリティ関連データーの異なる部分に関して監視、評価及び動作を取るセキュリティ製品を含むことがある。例えば図6に示すように、コーポネット223は、エッジファイヤーフォール製品610、1以上の特化した事業用(line-of-business)のセキュリティゲートウェイ製品6102、ホストのセキュリティ製品610を含むセキュリティ製品の組み合わせを利用することがある。この特定の例示的な例では利用しない一方で、他のタイプのセキュリティ製品も、例えばビジネスセキュリティゲートウェイ、情報漏えい保護ゲートウェイ、ウェブアプリケーション保護製品を含むNIDS(Network intrusion detection system)製品、UTM(Unified Thread Management/Security Incident Management)製品、SEM/SIM(Security Event Management/Security Incident Management)製品、NAP製品、並びに使用可能なヘルスの監視及び設定管理製品(例えばマイクロソフト社のウィンドウズ(登録商標)のアップデートのサービス)を含む特定の実装の必要性に依存して利用されることもある。 For example, endpoint 610 may include a security product that monitors, evaluates, and acts on different portions of security-related data within the enterprise. For example, as shown in FIG. 6, the Corponet 223 includes an edge firefall product 610 1 , one or more specialized line-of-business security gateway products 610 2 , and a host security product 610 N. A combination of security products may be used. While not utilized in this particular illustrative example, other types of security products are also available, such as NIDS (Network Intrusion Detection System) products, UTM (Unified Thread), including business security gateways, information leak protection gateways, web application protection products, etc. Management / Security Incident Management) products, SEM / SIM (Security Event Management / Security Incident Management) products, NAP products, and available health monitoring and configuration management products (for example, Microsoft Windows (R) update services ) May be used depending on the specific implementation needs.

エッジファイヤーフォールはインターネットベースの脅威からコーポネット223を保護するために編成されるセキュリティ製品である一方で、アプリケーション及びデーターへのリモートアクセスをユーザーに提供する。例えばエッジファイヤーフォールはマイクロソフト社のISA(Internet Security an Acceleration)(登録商標)サーバーにより具現化することができる。事業用のセキュリティ製品は、アンチウイルス及びアンチスパムの保護を提供するためにコーポネット223において使用される例えばマイクロソフト社のExchange(登録商標)等の電子メールアプリケーションを含む様々な事業用のアプリケーションを保護する。ホストのセキュリティ製品の商業の例は、マイクロソフト社のTMG(Threat Management Gateway)製品であり、企業のデスクトップ、ラップトップ及びサーバーオペレーティングシステムについて一元化されたマルウェアの保護を提供する。   Edgefire Fall is a security product that is organized to protect Corponet 223 from Internet-based threats, while providing users with remote access to applications and data. For example, the edge fire fall can be realized by a Microsoft ISA (Internet Security an Acceleration) (registered trademark) server. Business security products protect various business applications, including e-mail applications such as Microsoft Exchange®, used in Corponet 223 to provide antivirus and anti-spam protection To do. A commercial example of a host security product is Microsoft's TMG (Threat Management Gateway) product, which provides centralized malware protection for corporate desktop, laptop and server operating systems.

最も典型的なESASの実装において、ESAS中央サーバー616と呼ばれる特化したエンドポイントも利用されることがある。ESAS中央サーバー616はセキュリティ評価チャネル605に接続され、全てのセキュリティ評価への登録、セキュリティ評価のロギング、及び環境におけるセキュリティ事故に応答してエンドポイント610によって取られるローカルの動作をもロギングすることにより、集中型の会計ポイントとして動作する。ESAS中央サーバー616は、エンドポイント610の全体及びそれぞれとして企業の歴史及び現在の状態の包括的なビューを管理者に提供する。セキュリティ評価の利用は、管理者が企業全体に渡って検知される事故への応答ポリシーをコンパクト及び効率的に設定することを可能にする。セキュリティ評価は、企業規模のセキュリティの応答ポリシーを定義するために、自然のアンカー(natural anchor)又は開始ポイントとして機能する。簡素化及び一貫した管理インターフェースは従って、企業全体に渡るセキュリティ評価の各タイプについて所望の応答を定義することができる。   In the most typical ESAS implementations, a specialized endpoint called ESAS central server 616 may also be utilized. The ESAS central server 616 is connected to the security assessment channel 605 by logging all security assessment registrations, security assessment logging, and also local actions taken by the endpoint 610 in response to security incidents in the environment. Act as a centralized accounting point. The ESAS central server 616 provides the administrator with a comprehensive view of the entire endpoint 610 and as a whole the history and current state of the enterprise. The use of security assessments allows administrators to set compact and efficient response policies for incidents detected across the enterprise. Security assessments act as natural anchors or starting points to define enterprise-wide security response policies. A simplified and consistent management interface can thus define a desired response for each type of security assessment across the enterprise.

エンドポイント610はさらに、この環境において動作するセキュリティ評価チャネル上にセキュリティ評価を発行すると同時に、他のエンドポイントにより発行される利用可能なセキュリティ評価のサブセットに登録するための機能を実現する。アクティブである(つまり評価がまだ有効であることを示すTTLを有する)この環境において存在するセキュリティ評価は、このようなエンドピント610に自身のローカルに利用可能な情報を見るための新しい方法を与えるセキュリティコンテキストを提供するために機能する。   Endpoint 610 further implements functionality for issuing security assessments on security assessment channels operating in this environment, while registering with a subset of available security assessments issued by other endpoints. The security assessment that exists in this environment that is active (ie, has a TTL indicating that the assessment is still valid) gives such end focus 610 a new way to view its locally available information. Serves to provide a security context.

つまり、セキュリティコンテキストは、潜在的なセキュリティ事故の検知の質を大きく高めるために、エンドポイント610が様々な異なるソースから受け取られ、オブジェクトのタイプに渡るセキュリティ評価から証拠を結合又は相関することを可能にする。エンドポイント610はその後、応答ポリシーのセットに従って、セキュリティ評価のそれぞれのタイプについて(別のエンドポイントから受け取られたか又はエンドポイント自身により内部で生成されたかのいずれかである)、ローカルの動作又は応答が適切かに関しての判定を行う。事故の検知は、セキュリティコンテキストが、(ほとんどが任意のコンテキストの不足のために完全に不適切である)企業を通して大量の生のデーターを共有する負担なく、セキュリティ評価の形式で、企業規模の情報の分散された処理を可能にするので、効率的及び費用効果的の両方である。エンドポイント610はローカルの動作を促進したセキュリティ評価の期限切れの上で(つまり、セキュリティ評価がTTLフィールドにおいて指定された有効期限を超える)、ローカルの動作をロールバックするようさらに編成される。   That is, the security context allows endpoints 610 to be received from a variety of different sources and to combine or correlate evidence from security assessments across object types to greatly enhance the quality of detection of potential security incidents. To. The endpoint 610 then has local actions or responses for each type of security evaluation (either received from another endpoint or generated internally by the endpoint itself) according to a set of response policies. Make a determination as to whether it is appropriate. Incident detection is an enterprise-wide information in the form of a security assessment, without the burden of sharing a large amount of raw data through the enterprise (mostly completely inappropriate due to lack of any context) Are both efficient and cost effective. The endpoint 610 is further organized to roll back the local action upon expiration of the security evaluation that promoted the local action (ie, the security evaluation exceeds the expiration date specified in the TTL field).

この例示的な例において、ゲストマシン205は、ホストマシン210を巻き込むセキュリティ事故を特定するセキュリティ評価チャネル605上で受け取られるセキュリティ評価への登録者としても構成される。従ってセキュリティ評価チャネル605は、例えばVPN/SSL接続を通して又はグローバルSCMアクセスを使用してゲストマシンに仮想的及び論理的に拡張される可能性がある。   In this illustrative example, guest machine 205 is also configured as a registrant to a security assessment received on security assessment channel 605 that identifies a security incident involving host machine 210. Thus, the security assessment channel 605 may be extended virtually and logically to the guest machine, for example through a VPN / SSL connection or using global SCM access.

図7は、セキュリティ評価が適用可能なポリシーへのホストマシンの準拠の検査を引き起こすのに使用される例示的なシナリオ700を示している。シナリオ700は4つの段階で説明することができる。参照番号710により示すように、ホストが振る舞いについての最もありがちな説明がセキュリティ侵害の存在であるインターネット242にあまりに多くの接続を作成するので、エッジファイヤーフォール610は例えばホストマシン210が潜在的に侵害されることを最初に示す。 FIG. 7 illustrates an example scenario 700 that may be used to trigger a check of the host machine's compliance with policies to which a security assessment is applicable. Scenario 700 can be described in four stages. As indicated by reference numeral 710, the most likely explanation for the behavior of the host is creating too many connections to the Internet 242 where there is a security breach, so the edgefire fall 610 1 could potentially be First show that it is infringed.

第2に、エッジファイヤーフォール610は、エンドポイント610に登録するためのセキュリティ評価チャネル605上に、参照番号720により示すようにホストマシンが高い重大性及び高い信用で「侵害」される疑いを示すセキュリティ評価を送る。第3に、ゲストマシン205はホストを巻き込むセキュリティ評価への登録者であるので、セキュリティ評価チャネル605上でセキュリティ評価720を受け取ることになる。セキュリティ評価720はホストマシン上のルートパーティションが悪意のある目的で接続を作るマルウェアを含む疑いを起こす。このような疑いが確認される場合、仮想化環境は不健全である可能性があり、ゲストマシン205は危険にさらされている可能性がある。従って、受け取られたセキュリティ評価720は、ホストマシン210のヘルスの検査を実行するためにホストのヘルスエージェント305に対してゲストのヘルスエージェント312からの要求を引き起こすために使用することができる。ホストのヘルスエージェント305は要求に応答可能なように検査を実行し、ゲストのヘルスエージェント312への結果を示すために準拠の宣言320を提供する。準拠の宣言320は問題を示し、その後ユーザーは通知される可能性があるので、修正を達成できる。 Second, the edgefire fall 610 1 suspects that the host machine will be “breached” with high severity and high trust, as indicated by reference numeral 720, on the security evaluation channel 605 for registering with the endpoint 610. Send a security rating indicating. Third, since guest machine 205 is a registrant for security evaluation involving the host, it will receive security evaluation 720 on security evaluation channel 605. Security rating 720 suspects that the root partition on the host machine contains malware that creates connections for malicious purposes. If such a suspicion is confirmed, the virtualization environment may be unhealthy and the guest machine 205 may be at risk. Accordingly, the received security assessment 720 can be used to trigger a request from the guest health agent 312 to the host health agent 305 to perform a health check of the host machine 210. The host health agent 305 performs a check to be able to respond to the request and provides a compliant declaration 320 to indicate the result to the guest health agent 312. The declaration of compliance 320 indicates a problem and the user can be notified thereafter so that the correction can be achieved.

さらに、いくつかの実装において、セキュリティ評価720を受け取る登録エンドポイント6101,2、…N及びESAS中央サーバー616は、動作を引き起こすための自身の相関ルール及びローカルに利用可能なデーターの適用を通して特定のセキュリティの見解を適用するのに使用することができる。エンドポイント610の動作はゲストマシン205上で実行でき、ホストマシン上で検知されるセキュリティ事故によりゲストが侵害されていたか否かを検査し、任意の侵害を修正及び/又は健全であるとして検証されるまでゲストマシンをコーポネット又は他のITオブジェクトから隔離する。エンドポイント610によりとられる動作はホストマシン210に代替的に適用される可能性がある一方で、いくつかの実装においてゲストマシン205及びホストマシン210の両方が動作の目的である可能性がある。典型的に、取られる特定の動作及び適用されるITオブジェクトは、コーポネット又は企業環境において設定及び実装される応答ポリシーに支配される。 Further, in some implementations, registered endpoints 610 1, 2,... N and ESAS central server 616 receiving security rating 720 are identified through the application of their correlation rules and locally available data to trigger actions. Can be used to apply the security view of Endpoint 610 operations can be performed on the guest machine 205, checking whether the guest has been compromised by a security incident detected on the host machine, and verifying that any violation has been corrected and / or healthy. Isolate the guest machine from the Corponet or other IT object until While the actions taken by endpoint 610 may alternatively be applied to host machine 210, in some implementations both guest machine 205 and host machine 210 may be the purpose of the action. Typically, the specific actions taken and IT objects applied are governed by response policies that are set up and implemented in a corporate network or enterprise environment.

図7における参照番号740により選択的に示されるように、受け取られたセキュリティ評価に応答してエンドポイント610により取られる動作は、オンデマンドのアンチウイルスのスキャンを実行するホストのセキュリティエンドポイント610を例示的に含む。さらに、示されるように、事業用のセキュリティエンドポイント6102はインスタントメッセージ(IM)又は電子メールのトラフィックを一時的に中断することができる。ESAS中央サーバー616はセキュリティ分析者(例えば管理者)に警告を発し、セキュリティ評価及び呼び出された全ての動作のログも取る。これらの動作が例示として意図され、他のエンドポイントにより取られる他の動作が所与の実装及び用途シナリオの必要性を満たすために利用され得ることが強調される。 As selectively illustrated by reference numeral 740 in FIG. 7, the action taken by endpoint 610 in response to the received security assessment is the security endpoint 610 N of the host performing the on-demand antivirus scan. Is included as an example. Further, as shown, the business security endpoint 610 2 may temporarily interrupt instant message (IM) or email traffic. The ESAS central server 616 alerts the security analyst (eg, administrator), also logs security assessments and all actions invoked. These actions are intended as examples and it is emphasized that other actions taken by other endpoints can be utilized to meet the needs of a given implementation and application scenario.

主題は、構造的な特徴及び/又は方法論的な動作のために特有の言語において説明したが、添付の特許請求の範囲に定義された主題は、上述の特有の特徴又は動作に限定される必要性はないと理解される。さらに、上述の特有の特徴及び動作は特許請求の範囲を実装するための例示的な形式として開示される。   Although the subject matter has been described in a specific language for structural features and / or methodological operations, the subject matter defined in the appended claims needs to be limited to the specific features or operations described above. It is understood that there is no sex. Furthermore, the specific features and acts described above are disclosed as example forms of implementing the claims.

Claims (15)

ホストマシン(210)上で操作する子パーティション(110)において作成されるゲストマシン(205)を操作するための方法であって、
前記ホストマシン(210)の前記子パーティション(110)上の前記ゲストマシン(205)のブート処理を初期化するステップと、
準拠ポリシー(308)への前記ホストマシン(210)の準拠を判定するために、前記ホストマシン(210)上のルートパーティション(106)と通信するステップと、
前記ホストマシン(210)が前記準拠ポリシー(308)に準拠していると判定された場合に、仮想化環境(100)を作成するために前記子パーティション(110)における前記ゲストマシン(205)の前記ブート処理を完了するステップと、
前記ホストマシン(210)が前記準拠ポリシー(308)に準拠していないと判定される場合に、前記子パーティション(110)における前記ゲストマシン(205)の前記ブート処理を終了するステップと
を備えたことを特徴とする方法。 A method for operating a guest machine (205) created in a child partition (110) operated on a host machine (210),
Initializing boot processing of the guest machine (205) on the child partition (110) of the host machine (210);
Communicating with a root partition (106) on the host machine (210) to determine compliance of the host machine (210) with a compliance policy (308);
When it is determined that the host machine (210) is compliant with the compliance policy (308), the guest machine (205) in the child partition (110) is created to create a virtualized environment (100). Completing the boot process;
Ending the boot process of the guest machine (205) in the child partition (110) when it is determined that the host machine (210) does not comply with the compliance policy (308). A method characterized by that. 前記ルートパーティションとの前記通信のために前記ゲストマシン上で操作可能なゲストのヘルスエージェントを利用するステップをさらに備えたことを特徴とする請求項1に記載の方法。   The method of claim 1, further comprising utilizing a guest health agent operable on the guest machine for the communication with the root partition. 前記ゲストのヘルスエージェントと通信するために前記ホストマシンの前記ルートパーティション上で操作可能なホストのヘルスエージェントを利用するステップをさらに備えたことを特徴とする請求項2に記載の方法。   The method of claim 2, further comprising utilizing a host health agent operable on the root partition of the host machine to communicate with the guest health agent. 前記ホストのヘルスエージェントは、前記ホストマシンのヘルスを示す1つ又は複数の要素を検査するために構成されることを特徴とする請求項3に記載の方法。   The method of claim 3, wherein the host health agent is configured to examine one or more elements indicative of health of the host machine. 前記1つ又は複数の要素は、セキュリティパッチ状態、アンチウイルスのソフトウェアの存在、アンチマルウェアソフトウェアの存在、ウイルスの署名の状態、マルウェアの署名の状態、前記ホストマシンが前記ゲストマシンを実行するために認証されることを示す証明書又はファイルのレジストリー鍵の存在、ファイヤーウォールの存在、又は前記ファイヤーウォールの設定状態の少なくとも1つを含むことを特徴とする請求項4に記載の方法。   The one or more elements include security patch status, presence of anti-virus software, presence of anti-malware software, status of virus signature, status of signature of malware, for the host machine to execute the guest machine 5. The method of claim 4, comprising at least one of the presence of a certificate or file registry key indicating authentication, the presence of a firewall, or the setting state of the firewall. コンピューター読み取り可能な媒体に格納された命令を受け取るステップをさらに含み、前記ホストマシン上に配置された1つ又は複数のプロセッサーにより実行されるとき、前記ホストのヘルスエージェント又は前記ゲストのヘルスエージェントを実装することを特徴とする請求項3に記載の方法。   Receiving instructions stored on a computer readable medium, the host health agent or the guest health agent being implemented when executed by one or more processors located on the host machine 4. The method of claim 3, wherein: 前記コンピューター読み取り可能な媒体は、前記仮想化環境において使用されるデスクトップ画像をさらに含む記憶媒体であることを特徴とする請求項6に記載の方法。   The method of claim 6, wherein the computer readable medium is a storage medium that further includes a desktop image used in the virtualized environment. 前記デスクトップ画像は、前記準拠ポリシー、データー、ユーザー設定、ユーザー優先権又はアプリケーションの1つもしくは複数を含むことを特徴とする請求項7に記載の方法。   The method of claim 7, wherein the desktop image includes one or more of the compliance policy, data, user settings, user preferences, or applications. i)セキュリティ評価についての発行及び登録が操作される通信チャネルに接続される前記ゲストマシンを構成するステップであって、各セキュリティ評価が前記ネットワーキング環境においてオブジェクトに付随するセキュリティ事故への文脈上の意味を提供するために編成され、前記通信チャネルが複数のセキュリティエンドポイント間で共有され、前記セキュリティ評価が前記複数のエンドポイントにより共通に理解される分類を使用する、前記ゲストマシンを構成するステップと、ii)前記通信チャネルで、セキュリティエンドポイントにより検知される前記ホストマシン上の潜在的なセキュリティ事故を記述するセキュリティ評価を受け取るステップと、iii)前記受け取られたセキュリティ評価に応答して、前記ホストマシンのヘルス検査を実行するために前記ホストマシン上のコンポーネントへの要求を引き起こすステップとをさらに備えたことを特徴とする請求項1に記載の方法。   i) configuring the guest machine connected to a communication channel in which issuance and registration of security evaluations are operated, each security evaluation being contextual to security incidents associated with objects in the networking environment Configuring the guest machine using a classification that is organized to provide the communication channel is shared among a plurality of security endpoints, and wherein the security assessment is commonly understood by the plurality of endpoints; Ii) receiving a security rating on the communication channel describing a potential security incident on the host machine detected by a security endpoint; and iii) in response to the received security rating, the host Machine hell The method of claim 1 wherein said that further comprising the steps of causing a request to the component on the host machine to perform the inspection. 前記ホストマシンが準拠していないと判定されるとき、エラーメッセージを表示するステップをさらに含み、前記エラーメッセージが前記ホストマシンの前記準拠ポリシーに準拠しないことを示し、前記準拠しないことの修正が実行される可能性があることの通知を提供することを特徴とする請求項1に記載の方法。   When it is determined that the host machine is not compliant, the method further includes displaying an error message, indicating that the error message does not comply with the compliance policy of the host machine, and correcting the non-compliance is performed. The method of claim 1, comprising providing notification that there is a possibility of being performed. ホストマシン(210)の子パーティション(110)上で実行しているゲストマシン(205)からのネットワークアクセスを管理するための方法であって、
前記ゲストマシン(205)からネットワーク(223)への接続要求を受け取るステップと、
前記ゲストマシン(205)から、前記ホストマシンのヘルスの状況を示す準拠の宣言(320)を要求するステップと、
前記ホストマシン(210)についての最小のヘルスの条件を指定する1つ又は複数の準拠ポリシーに対して、前記準拠の宣言(320)を比較するステップと、
前記準拠の宣言(320)が、前記ホストマシン(210)が前記1又は複数の準拠ポリシーに準拠することを示す場合に、前記ネットワーク(223)への前記ゲストマシン(205)によるアクセスを許可するステップと、
前記準拠の宣言(320)が、前記ホストマシン(210)が前記1又は複数の準拠ポリシーに準拠しないことを示す場合に、前記ネットワーク(223)に接続する前記要求を拒否するステップと
を備えたことを特徴とする方法。 A method for managing network access from a guest machine (205) running on a child partition (110) of a host machine (210),
Receiving a connection request from the guest machine (205) to the network (223);
Requesting a declaration of conformity (320) indicating the health status of the host machine from the guest machine (205);
Comparing the declaration of compliance (320) against one or more compliance policies that specify minimum health conditions for the host machine (210);
Permit access by the guest machine (205) to the network (223) if the compliance declaration (320) indicates that the host machine (210) complies with the one or more compliance policies. Steps,
Rejecting the request to connect to the network (223) when the compliance declaration (320) indicates that the host machine (210) does not comply with the one or more compliance policies. A method characterized by that. 準拠ポリシーサーバーから1又は複数の準拠プリシーを受け取るステップをさらに含むことを特徴とする請求項11に記載の方法。   The method of claim 11, further comprising receiving one or more compliance policies from a compliance policy server. 前記ホストマシンの1又は複数の準拠ポリシーに準拠しないことが修正される場合に、前記ゲストマシンによる前記ネットワークへのアクセスを許可するステップをさらに含むことを特徴とする請求項11に記載の方法。   The method of claim 11, further comprising: allowing access to the network by the guest machine if the non-compliance with one or more compliance policies of the host machine is modified. 前記リモート接続がVPN、SSL付きVPN、VPN over IPSec、又はグローバルSCMサービスのうちの1つにより実施されることを特徴とする請求項13に記載の方法。   The method of claim 13, wherein the remote connection is implemented by one of a VPN, a VPN with SSL, a VPN over IPSec, or a global SCM service. 前記準拠の宣言は前記ホストマシンのルートパーティション上で実行しているコンポーネントにより生成され、前記コンポーネントは、前記ホストマシンの前記ヘルスの状況を検査し、前記ゲストマシンに前記準拠の宣言を返すように編成されるか、又は前記ホストマシンの前記ヘルスの状況を検査し、準拠ポリシーサーバーに前記準拠の宣言を返し、前記ホストマシンが前記1以上の準拠ポリシーに準拠していることを判定する場合に、前記準拠ポリシーサーバーから署名されたヘルスの宣言を受け取るように編成されていることを特徴とする請求項11に記載の方法。   The compliance declaration is generated by a component running on the root partition of the host machine, which checks the health status of the host machine and returns the compliance declaration to the guest machine If it is organized or it checks the health status of the host machine, returns the compliance declaration to a compliance policy server and determines that the host machine complies with the one or more compliance policies The method of claim 11, wherein the method is organized to receive a signed health declaration from the compliant policy server.
JP2011525050A 2008-08-28 2009-07-31 Protecting virtual guest machines from attacks by infected hosts Active JP5518865B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/199,812 US8954897B2 (en) 2008-08-28 2008-08-28 Protecting a virtual guest machine from attacks by an infected host
US12/199,812 2008-08-28
PCT/US2009/052438 WO2010025007A2 (en) 2008-08-28 2009-07-31 Protecting a virtual guest machine from attacks by an infected host

Publications (3)

Publication Number Publication Date
JP2012510650A true JP2012510650A (en) 2012-05-10
JP2012510650A5 JP2012510650A5 (en) 2012-09-13
JP5518865B2 JP5518865B2 (en) 2014-06-11

Family

ID=41722206

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011525050A Active JP5518865B2 (en) 2008-08-28 2009-07-31 Protecting virtual guest machines from attacks by infected hosts

Country Status (5)

Country Link
US (1) US8954897B2 (en)
EP (1) EP2318975B1 (en)
JP (1) JP5518865B2 (en)
CN (1) CN102132287B (en)
WO (1) WO2010025007A2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9697025B2 (en) 2013-07-02 2017-07-04 International Business Machines Corporation Managing virtual machine policy compliance

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9015789B2 (en) * 2009-03-17 2015-04-21 Sophos Limited Computer security lock down methods
US9426179B2 (en) 2009-03-17 2016-08-23 Sophos Limited Protecting sensitive information from a secure data store
US9621584B1 (en) 2009-09-30 2017-04-11 Amazon Technologies, Inc. Standards compliance for computing data
US9087188B2 (en) * 2009-10-30 2015-07-21 Intel Corporation Providing authenticated anti-virus agents a direct access to scan memory
US8321940B1 (en) * 2010-04-30 2012-11-27 Symantec Corporation Systems and methods for detecting data-stealing malware
US9111079B2 (en) 2010-09-30 2015-08-18 Microsoft Technology Licensing, Llc Trustworthy device claims as a service
US9100425B2 (en) 2010-12-01 2015-08-04 Cisco Technology, Inc. Method and apparatus for detecting malicious software using generic signatures
US9218461B2 (en) * 2010-12-01 2015-12-22 Cisco Technology, Inc. Method and apparatus for detecting malicious software through contextual convictions
US20120144489A1 (en) * 2010-12-07 2012-06-07 Microsoft Corporation Antimalware Protection of Virtual Machines
US20130031371A1 (en) * 2011-07-25 2013-01-31 Alcatel-Lucent Usa Inc. Software Run-Time Provenance
US8843915B2 (en) * 2011-07-28 2014-09-23 Hewlett-Packard Development Company, L.P. Signature-based update management
US8782351B2 (en) 2011-10-13 2014-07-15 International Business Machines Corporation Protecting memory of a virtual guest
US8788763B2 (en) 2011-10-13 2014-07-22 International Business Machines Corporation Protecting memory of a virtual guest
US9032520B2 (en) 2012-02-22 2015-05-12 iScanOnline, Inc. Remote security self-assessment framework
US8839447B2 (en) * 2012-02-27 2014-09-16 Ca, Inc. System and method for virtual image security in a cloud environment
US9058504B1 (en) * 2013-05-21 2015-06-16 Malwarebytes Corporation Anti-malware digital-signature verification
US9065854B2 (en) 2013-10-28 2015-06-23 Citrix Systems, Inc. Systems and methods for managing a guest virtual machine executing within a virtualized environment
US9762603B2 (en) * 2014-05-10 2017-09-12 Informatica Llc Assessment type-variable enterprise security impact analysis
US9851998B2 (en) 2014-07-30 2017-12-26 Microsoft Technology Licensing, Llc Hypervisor-hosted virtual machine forensics
US10425447B2 (en) * 2015-08-28 2019-09-24 International Business Machines Corporation Incident response bus for data security incidents
US9990222B2 (en) * 2016-03-18 2018-06-05 Airwatch Llc Enforcing compliance rules against hypervisor and virtual machine using host management component
US10142364B2 (en) * 2016-09-21 2018-11-27 Upguard, Inc. Network isolation by policy compliance evaluation
US10795991B1 (en) * 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10554492B2 (en) 2017-06-09 2020-02-04 Microsoft Technology Licensing, Llc Physical machine management in distributed computing systems
US11030057B2 (en) * 2018-07-06 2021-06-08 EMC IP Holding Company LLC System and method for critical virtual machine protection
US11604671B2 (en) 2020-03-19 2023-03-14 Red Hat, Inc. Secure virtual machine and peripheral device communication

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005096121A1 (en) * 2004-04-02 2005-10-13 Matsushita Electric Industrial Co., Ltd. Execution device
WO2007007805A1 (en) * 2005-07-14 2007-01-18 Matsushita Electric Industrial Co., Ltd. Verification method, verification program, recording medium, information processor, and integrated circuit
WO2007136192A1 (en) * 2006-05-18 2007-11-29 Sanggyu Lee Method for protecting client and server
JP2008165794A (en) * 2006-12-29 2008-07-17 Intel Corp Embedded mechanism for platform vulnerability assessment

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6609199B1 (en) * 1998-10-26 2003-08-19 Microsoft Corporation Method and apparatus for authenticating an open system application to a portable IC device
GB2376765B (en) * 2001-06-19 2004-12-29 Hewlett Packard Co Multiple trusted computing environments with verifiable environment identities
GB2376764B (en) * 2001-06-19 2004-12-29 Hewlett Packard Co Multiple trusted computing environments
US7127597B2 (en) * 2002-09-24 2006-10-24 Novell, Inc. Mechanism for controlling boot decisions from a network policy directory based on client profile information
US7370324B2 (en) * 2003-09-30 2008-05-06 Intel Corporation Switching between a service virtual machine and a guest virtual machine in a virtual machine monitor environment
US20050132122A1 (en) * 2003-12-16 2005-06-16 Rozas Carlos V. Method, apparatus and system for monitoring system integrity in a trusted computing environment
US7370166B1 (en) * 2004-04-30 2008-05-06 Lexar Media, Inc. Secure portable storage device
AU2005222507B2 (en) 2004-10-15 2010-10-28 Microsoft Corporation Portable computing environment
CN1885788B (en) 2005-06-22 2010-05-05 杭州华三通信技术有限公司 Network safety protection method and system
US20070074192A1 (en) * 2005-08-30 2007-03-29 Geisinger Nile J Computing platform having transparent access to resources of a host platform
CN100437420C (en) 2005-09-30 2008-11-26 联想(北京)有限公司 Computer system and its safety encryption
CN100420202C (en) * 2005-10-20 2008-09-17 联想(北京)有限公司 Computer management system and computer management method
AU2007243473A1 (en) * 2006-04-24 2007-11-08 Encryptakey, Inc. Portable device and methods for performing secure transactions
US7743422B2 (en) * 2006-08-21 2010-06-22 International Business Machines Corporation System and method for validating a computer platform when booting from an external device
US8510859B2 (en) 2006-09-26 2013-08-13 Intel Corporation Methods and arrangements to launch trusted, co-existing environments
US8949825B1 (en) 2006-10-17 2015-02-03 Manageiq, Inc. Enforcement of compliance policies in managed virtual systems
US9015703B2 (en) * 2006-10-17 2015-04-21 Manageiq, Inc. Enforcement of compliance policies in managed virtual systems
US7765374B2 (en) * 2007-01-25 2010-07-27 Microsoft Corporation Protecting operating-system resources
US8959568B2 (en) 2007-03-14 2015-02-17 Microsoft Corporation Enterprise security assessment sharing
CN100555298C (en) 2007-06-08 2009-10-28 北京飞天诚信科技有限公司 The method and apparatus of virtulizing personal office environment
US8418173B2 (en) * 2007-11-27 2013-04-09 Manageiq, Inc. Locating an unauthorized virtual machine and bypassing locator code by adjusting a boot pointer of a managed virtual machine in authorized environment
US20090178131A1 (en) 2008-01-08 2009-07-09 Microsoft Corporation Globally distributed infrastructure for secure content management

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005096121A1 (en) * 2004-04-02 2005-10-13 Matsushita Electric Industrial Co., Ltd. Execution device
JP2007226277A (en) * 2004-04-02 2007-09-06 Matsushita Electric Ind Co Ltd Method and apparatus for virtual machine alteration inspection
WO2007007805A1 (en) * 2005-07-14 2007-01-18 Matsushita Electric Industrial Co., Ltd. Verification method, verification program, recording medium, information processor, and integrated circuit
WO2007136192A1 (en) * 2006-05-18 2007-11-29 Sanggyu Lee Method for protecting client and server
JP2008165794A (en) * 2006-12-29 2008-07-17 Intel Corp Embedded mechanism for platform vulnerability assessment

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9697025B2 (en) 2013-07-02 2017-07-04 International Business Machines Corporation Managing virtual machine policy compliance
US10108444B2 (en) 2013-07-02 2018-10-23 International Business Machines Corporation Managing virtual machine policy compliance

Also Published As

Publication number Publication date
WO2010025007A3 (en) 2010-04-22
WO2010025007A2 (en) 2010-03-04
EP2318975A2 (en) 2011-05-11
US8954897B2 (en) 2015-02-10
US20100058432A1 (en) 2010-03-04
EP2318975B1 (en) 2018-08-22
CN102132287B (en) 2015-02-11
EP2318975A4 (en) 2013-11-20
CN102132287A (en) 2011-07-20
JP5518865B2 (en) 2014-06-11

Similar Documents

Publication Publication Date Title
JP5518865B2 (en) Protecting virtual guest machines from attacks by infected hosts
US11483334B2 (en) Automated asset criticality assessment
US9674215B2 (en) Software program identification based on program behavior
US10587647B1 (en) Technique for malware detection capability comparison of network security devices
US8353036B2 (en) Method and system for protecting cross-domain interaction of a web application on an unmodified browser
US20180089670A1 (en) Security broker
US8352998B1 (en) Policy evaluation in controlled environment
US6850943B2 (en) Security system and methodology for providing indirect access control
US8572750B2 (en) Web application exploit mitigation in an information technology environment
US7886065B1 (en) Detecting reboot events to enable NAC reassessment
US20090165132A1 (en) System and method for security agent monitoring and protection
US9183377B1 (en) Unauthorized account monitoring system and method
US20100175108A1 (en) Method and system for securing virtual machines by restricting access in connection with a vulnerability audit
US20100199351A1 (en) Method and system for securing virtual machines by restricting access in connection with a vulnerability audit
US20160269429A1 (en) Software program identification based on program behavior
US20090271863A1 (en) Identifying unauthorized privilege escalations
US20060069692A1 (en) Electronic computer system secured from unauthorized access to and manipulation of data
US9349009B2 (en) Method and apparatus for firmware based system security, integrity, and restoration
US20190005267A1 (en) Dynamic privilege management in a computer system
US20070294699A1 (en) Conditionally reserving resources in an operating system
US8862730B1 (en) Enabling NAC reassessment based on fingerprint change
US20220391506A1 (en) Automated Interpreted Application Control For Workloads
Varadharajan et al. On the design and implementation of an integrated security architecture for cloud with improved resilience
US11729176B2 (en) Monitoring and preventing outbound network connections in runtime applications
US20120174206A1 (en) Secure computing environment

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120724

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120724

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20130701

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130718

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131030

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131114

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140304

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140402

R150 Certificate of patent or registration of utility model

Ref document number: 5518865

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250